Se están reportando diversas alertas sobre un nuevo gusano, conocido
como sadmind/IIS, que emplea vulnerabilidades ya conocidas y parcheadas
para reproducirse y modificar páginas web. El gusano afecta a versiones
sin actualizar adecuadamente de Microsoft IIS y de Solaris hasta Solaris
7 (incluida).
Este gusano explota una vulnerabilidad en los sistemas Solaris para
posteriormente instalar un software capaz de atacar servidores web con
Microsoft Internet Information Server. Además, incluye un componente
para propagarse a si mismo de forma automática a otros sistemas Solaris
vulnerables. Añadirá «+ +» al archivo .rhosts para terminar por
modificar el index.html en el sistema Solaris después de haber
comprometido los sistemas IIS.
Para comprometer los sistemas Solaris el gusano toma provecho de una
vulnerabilidad de desbordamiento de búfer ya antigua, conocida y
parcheada desde hace ya dos años, en el programa Solstice sadmind.
Tras el compromiso del sistema Solaris, el gusano emplea una
vulnerabilidad en los sistemas IIS para atacar a estos otros servidores.
Por cada sistema Solaris infectado el gusano modificará 2.000 servidores
web basados en IIS. La vulnerabilidad en los ISS es la conocida por el
uso de caracteres unicode para ejecutar programas en la máquina. Se
trata de un problema con siete meses de antigüedad y también con los
parches adecuados publicados.
Las páginas modificadas por este patógene mostrarán el siguiente
mensaje:
fuck USA Government
fuck PoizonBOx
contact:sysadmcn@yahoo.com.cn
Por su parte los sistemas Solaris comprometidos muestran, entre otras
características, un rootshell escuchando en el puerto TCP 600, se habrán
creado los directorios /dev/cub con un listado de las máquinas
comprometidas y /dev/cuc con las herramientas empleadas por el gusano
para actuar y propagarse y se encontrarán en ejecución los procesos de
los scripts asociados al gusano, como:
/bin/sh /dev/cuc/sadmin.sh
/dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 111
/dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 80
/bin/sh /dev/cuc/uniattack.sh
/bin/sh /dev/cuc/time.sh
/usr/sbin/inetd -s /tmp/.f
/bin/sleep 300
Los sistemas convenientemente actualizados no se verán afectados por
este gusano. En cualquier caso los parches a instalar para evitar el
ataque son los siguientes:
Para Internet Information Server 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q277873
Para Internet Information Services 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25547
Para Solaris:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba
antonior@hispasec.com
Más información:
Aviso del CERT:
http://www.cert.org/advisories/CA-2001-11.html
una-al-dia (20/10/2000) Una grave vulnerabilidad afecta a todos los
servidores IIS:
http://www.hispasec.com/unaaldia.asp?id=726
Deja una respuesta